La arquitectura de referencia de escala de DNS inteligente de F5

El Sistema de Nombres de Dominio (DNS) se creó en 1983 para permitir a las personas identificar fácilmente todas las computadoras, servicios y recursos conectados a Internet por nombre, en lugar de por la dirección de Protocolo de Internet (IP), una cadena de información binaria imposible de memorizar.

Un servidor DNS traduce los nombres de dominio que usted escribe en un navegador en una dirección IP, lo que permite que su dispositivo encuentre el servicio o sitio que está buscando en Internet.

Podría decirse que el DNS es la principal tecnología que hace posible Internet y también uno de los componentes más importantes de la infraestructura de red. Además de entregar contenido y aplicações, DNS también administra una arquitectura distribuida y redundante para garantizar una alta disponibilidad y un tiempo de respuesta rápido del usuario, por lo que es fundamental tener una infraestructura de DNS disponible, inteligente, segura y escalable. Si el DNS falla, la mayoría de las aplicações web dejarán de funcionar correctamente, lo que afectará a su negocio y a su marca.

La arquitectura de referencia de escala de DNS inteligente de extremo a extremo de F5 permite a las organizaciones construir una base de DNS sólida que maximiza los recursos y aumenta la gestión de servicios, al mismo tiempo que permanece lo suficientemente ágil para soportar arquitecturas de red, dispositivos y aplicações existentes y futuras.

Cuando un usuario solicita una página web, esa solicitud se pasa a un servidor DNS local, que a su vez se comunica con los servidores DNS principales. Todo funciona bien hasta que se produce un aumento repentino del tráfico o un atacante inunda el servidor con solicitudes de consultas DNS. Si su servidor DNS principal se sobrecarga, dejará de responder, lo que puede hacer que su sitio web no esté disponible.

Las fallas de DNS representan el 41 por ciento del tiempo de inactividad de la infraestructura web, por lo que es esencial mantener su DNS disponible. Según una encuesta del Grupo Aberdeen, las organizaciones pierden un promedio de $138,000 por cada hora que sus centros de datos están inactivos. El tiempo de inactividad afecta negativamente a los clientes, puede generar pérdida de ingresos e incluso puede afectar a los empleados que intentan acceder a recursos corporativos, como el correo electrónico.

Es por eso que no se puede exagerar la importancia de una base de DNS sólida. Sin uno, es posible que sus clientes no puedan acceder a su contenido y aplicações cuando lo deseen, y si no pueden obtener lo que quieren de usted, probablemente buscarán en otro lado.

Hay muchas razones por las que los requisitos de DNS están creciendo tan rápidamente. En los últimos cinco años, el número de usuarios de Internet ha crecido un 82 por ciento; el número de sitios web ha crecido de aproximadamente 580 millones a 1.240 millones y el número de consultas DNS ha crecido más del 100 por ciento.

Además, el número de conexiones móviles en uso creció en 2.200 millones y casi el 60 por ciento de los usuarios de Internet dicen que esperan que un sitio web se cargue en su teléfono móvil en tres segundos o menos.

Las organizaciones están experimentando un rápido crecimiento en términos de aplicações , así como del volumen de tráfico que accede a esas aplicações. Además, las propias aplicações web están creciendo y volviéndose cada vez más complejas. Cada ícono, URL y fragmento de contenido incrustado en una página web requiere una búsqueda de DNS. La carga de sitios complejos puede requerir cientos de consultas DNS, e incluso las aplicaciones simples para teléfonos inteligentes pueden requerir numerosas consultas DNS solo para cargarse.

En los últimos cinco años, el volumen de consultas DNS para direcciones .com y .net se ha más que duplicado, aumentando hasta una carga de consulta diaria promedio de 124 mil millones en el primer trimestre de 2016. En el mismo período, se agregaron más de 10 millones de nombres de dominio a Internet. Se espera que el crecimiento futuro se produzca a un ritmo aún más rápido a medida que se implementen más nubes.

Si el DNS es la columna vertebral de Internet (responde a todas las consultas y resuelve todos los números para que usted pueda encontrar sus sitios favoritos), también es uno de los puntos más vulnerables de su red. Debido al papel crucial que desempeña, el DNS es un objetivo de gran valor para los atacantes. Los ataques DDoS de DNS pueden inundar sus servidores DNS hasta el punto de fallar o secuestrar y redirigir las solicitudes a un servidor malicioso. Para evitar esto, es necesario integrar en la red una arquitectura DNS distribuida, segura y de alto rendimiento, y capacidades de descarga de DNS.

Generalmente, las organizaciones tienen un conjunto de servidores DNS, cada uno capaz de manejar hasta 150.000 consultas DNS por segundo. Los servidores DNS de alto rendimiento pueden manejar alrededor de 200.000 consultas por segundo. Los malos pueden superar fácilmente esas tasas, como lo ejemplifican las interrupciones de DNS que afectan a Dyn, The New York Times, LinkedIn, Network Solutions y Twitter.

Para abordar las sobrecargas de DNS y los ataques DDoS de DNS, las empresas agregan más servidores DNS, que realmente no son necesarios durante las operaciones comerciales normales. Esta costosa solución a menudo también requiere intervención manual para realizar cambios. Además, los servidores DNS tradicionales requieren mantenimiento y parches frecuentes, principalmente para nuevas vulnerabilidades.

Al buscar soluciones de DNS, muchas organizaciones seleccionan BIND (Berkeley Internet Naming Daemon), el solucionador de DNS original de Internet. Instalado en aproximadamente el 80 por ciento de los servidores DNS del mundo, BIND es un proyecto de código abierto mantenido por Internet Systems Consortium (ISC). ISC es una organización sin fines de lucro con un brazo de consultoría con fines de lucro llamado DNS-CO, que ofrece 4 niveles diferentes de suscripciones y servicios de soporte.

A pesar de su popularidad, BIND requiere un mantenimiento significativo varias veces al año, principalmente debido a vulnerabilidades, parches y actualizaciones. Se puede descargar libremente, pero necesita servidores (un coste adicional, incluidos los contratos de soporte) y un sistema operativo. Además, BIND normalmente escala a solo 50.000 respuestas por segundo (RPS), lo que lo hace vulnerable a sobrecargas de DNS tanto legítimas como maliciosas.

La arquitectura de referencia F5 Intelligent DNS Scale proporciona una forma más inteligente de responder y escalar las consultas DNS y tiene en cuenta una variedad de condiciones y situaciones de red para distribuir las solicitudes de aplicação de usuario y los servicios de aplicação en función de las políticas comerciales, las condiciones del centro de datos, las condiciones de la red y el rendimiento de las aplicação .

En lugar de preocuparse por cortes de DNS y comprar infraestructura de DNS adicional para combatir sobretensiones, puede instalar un dispositivo F5 BIG-IP en la DMZ de su red y dejar que maneje las solicitudes en nombre de su servidor DNS principal.

BIG-IP DNS hiperescala a 100 millones de RPS, lo que significa que incluso grandes aumentos de solicitudes de DNS (incluidas las maliciosas) no interrumpirán su contenido ni afectarán la disponibilidad de aplicações críticas. Los administradores de su red pueden estar más tranquilos sabiendo que su sitio responderá a todas las consultas de DNS y permanecerá disponible incluso durante un ataque. Su marca está protegida y su empresa puede evitar una noticia embarazosa en primera plana.

La arquitectura de referencia F5 Intelligent DNS Scale ayuda a garantizar que sus aplicações y contenido estén continuamente disponibles para sus usuarios. Una de las piezas más importantes de esta arquitectura es la función de respuesta a consultas DNS Express específicamente diseñada en BIG-IP DNS, que administra consultas DNS autorizadas transfiriendo zonas del servidor DNS principal a su propia RAM.

BIG-IP DNS solo tiene que abrir el paquete de consulta DNS una vez, siempre que la solicitud sea para una dirección que esté en la zona que fue transferida a DNS Express, lo que simplifica el proceso y mejora significativamente el rendimiento y los tiempos de respuesta de su arquitectura DNS.

Con DNS Express, el núcleo individual de cada dispositivo BIG-IP puede responder aproximadamente entre 125.000 y 200.000 solicitudes por segundo, lo que permite escalar hasta más de 50 millones de RPS de consultas, más de 12 veces la capacidad de un servidor DNS primario típico.

Cada dispositivo BIG-IP está certificado por ICSA Labs como firewall de red. Al evaluar de forma inteligente la reputación de los hosts de Internet, el dispositivo BIG-IP puede evitar que los atacantes desconecten su DNS con un ataque DDoS de DNS, roben datos, comprometan los recursos corporativos o interrumpan su negocio de alguna otra manera. 

Además, DNSSEC puede proteger su infraestructura de DNS, incluidas las implementaciones en la nube, de ataques de envenenamiento de caché y secuestros de dominios. Con el soporte de DNSSEC, puede firmar digitalmente y respaldar su consulta DNS con respuestas cifradas, lo que permite que el solucionador determine la autenticidad de la respuesta y evite el secuestro de DNS y el envenenamiento de caché. El servicio F5 IP Intelligence mejora su seguridad general al denegar el acceso a direcciones IP que se sabe que están infectadas con malware, en contacto con puntos de distribución de malware y con mala reputación.

La arquitectura de referencia F5 Intelligent DNS Scale también ayuda a mantener su contenido y aplicações disponibles al responder a las consultas DNS desde el borde de la red, en lugar de desde lo profundo de su infraestructura crítica. Cuando descarga respuestas de DNS a la plataforma BIG-IP, las solicitudes no llegan al back end de su red, lo que aumenta enormemente su capacidad de escalar y responder a picos de DNS además de proteger su infraestructura de DNS.

Al aumentar la velocidad, la disponibilidad, la escalabilidad y la seguridad de su infraestructura DNS, la arquitectura de referencia F5 Intelligent DNS Scale garantiza que sus clientes y empleados puedan acceder a sus servicios críticos de base de datos, aplicação y web cuando los necesiten.

Esto también se aplica a implementaciones en la nube o infraestructuras donde se distribuye DNS. Las organizaciones pueden replicar su infraestructura DNS de alto rendimiento en casi cualquier entorno. Es posible que tengan DNS en la nube para recuperación ante desastres/continuidad comercial, o incluso un servicio de DNS en la nube con zonas DNSSEC firmadas. La compatibilidad mejorada con AXFR de F5 DNS Services ofrece transferencias de zona desde un dispositivo BIG-IP a cualquier servicio DNS, lo que permite a las organizaciones replicar DNS en entornos físicos, virtuales y en la nube. El servicio de replicación DNS se puede enviar a otros dispositivos BIG-IP u otros servidores DNS generales en centros de datos o nubes más cercanos a los usuarios.

Además, las organizaciones pueden enviar a los usuarios a un sitio que les brindará la mejor experiencia. Los servicios DNS de BIG-IP utilizan una variedad de métodos de equilibrio de carga y monitoreo inteligente para cada aplicación y usuario específico. El tráfico se enruta de acuerdo con las políticas de su negocio, así como según las condiciones actuales de la red y del usuario. Los servicios DNS de BIG-IP incluyen una base de datos de geolocalización precisa y granular, que le brinda control de la distribución del tráfico en función de la ubicación del usuario.

BIG-IP DNS es una solución DNS global que proporciona servicios de nombres en el mismo borde de sus redes de acceso y prestación de servicios. Al emplear servicios de ubicación geográfica, puede dirigir a los usuarios al mejor centro de datos de prestación de servicios en función de su ubicación física.

BIG-IP DNS proporciona los siguientes servicios de nombres:

• Servicios DNS en el borde de la red para todos los servicios internos y externos.
• Servicios de geolocalización para una aplicação precisa o prestación de servicios en función de la ubicación del usuario móvil.
• El servicio IP Intelligence protege las infraestructuras detectando y deteniendo el acceso desde direcciones IP asociadas con actividad maliciosa.
• Un único punto de control para la gestión de todos los servicios de nombres globales y locales.
• Soluciones de servicios inteligentes BIG-IP adicionales, como distribución global de aplicação , aplicación de políticas, traducción NAT64 y DNS64, monitores de estado y el lenguaje de programación F5, iRules.
• Compatibilidad con servicios DNS globales
• Integración con DNS iRules para tomar decisiones DNS granulares y entregar servicios de nombres.
• Soporte para protocolos específicos del proveedor de servicios, como solicitudes ENUM para transacciones SIP.

Dentro del centro de datos, BIG-IP Local Traffic Manager (LTM) puede garantizar que sus aplicações y contenido permanezcan altamente disponibles al crear una arquitectura tolerante a fallas desde el borde móvil hasta el servicio. Además de proporcionar alta disponibilidad, BIG-IP LTM también admite aplicações específicas del proveedor de servicios, como solicitudes ENUM de equilibrio de carga para transacciones SIP.

Las soluciones BIG-IP LTM para servicios de nombres incluyen:

• Integración con BIG-IP DNS para ampliar servicios de nombres enriquecidos al centro de datos local y a la red de servicios.
• Soporte de equilibrio de carga tanto para DNS local como para DNS recursivo.
• Soporte para protocolos específicos del proveedor de servicios, como solicitudes ENUM para transacciones SIP.
• Monitores de salud transparentes para evaluar la salud del servicio antes de enviar usuarios al servicio. BIG-IP LTM puede transmitir información de salud a BIG-IP DNS para llevar el conocimiento de las aplicação al borde del SDN.
• Integración con iRules para decisiones DNS granulares y entrega de servicios de nombres.

La arquitectura de referencia F5 Intelligent DNS Scale se ajusta para aplicações de alta disponibilidad y gran volumen y al mismo tiempo admite millones de solicitudes de usuarios por segundo. Funcionan junto con otras funciones de entrega de servicios de BIG-IP, como el lenguaje de scripting iRules, monitoreo transparente de aplicação y otros servicios relacionados con IP para crear una infraestructura de entrega de servicios completa: F5 Service Delivery Network. Se logra una escalabilidad y flexibilidad perfectas aprovechando la plataforma de prestación de servicios inteligentes común a todos los dispositivos BIG-IP.

Al utilizar la arquitectura de referencia F5 Intelligent DNS Scale, las organizaciones pueden:

• Aumente la velocidad, disponibilidad, escalabilidad y seguridad de su infraestructura DNS.
• Reduzca la complejidad y los costos al eliminar servidores DNS adicionales innecesarios.
• Disfrute de la tranquilidad que le brinda saber que su sitio responderá a todas las solicitudes de DNS.

La arquitectura de referencia F5 Intelligent DNS Scale es una solución de entrega de DNS de extremo a extremo que mejora el rendimiento web al reducir la latencia de DNS, protege sus propiedades web y la reputación de su marca al mitigar los ataques DDoS de DNS y reduce los costos del centro de datos al consolidar la infraestructura de DNS. Lo más importante es que dirige a sus clientes hacia los componentes con mejor rendimiento para una prestación óptima de aplicação y servicios.

La arquitectura de referencia F5 Intelligent DNS Scale también brinda la tranquilidad de saber que sus aplicações web responderán a todas las consultas DNS, manteniendo su contenido y aplicações disponibles para sus usuarios donde y cuando quieran acceder a ellos.